F-Secure 「Phishing Piers on Legitimate Sites」より
May 21,2008 Posted by Sean

 電子決済サービス「PayPal」のアカウントに対するフィッシングを仕掛けるとしたら,どうすればよいだろうか。まず,「paypol-sevice.com」といった紛らわしいドメイン名を登録する手口が考えられる。しかし,これでは悪事を企んでいるとすぐに分かるし,存在が露呈しやすく,フィッシングを始めてもいないのに対策を講じられてしまう。

 以下は,構築した翌日に対策されてしまったフィッシング用ドメインの例だ。

PayPol-Service.com
PayPol-Service.com
[画像のクリックで拡大表示]

 紛らわしいドメイン名を使うフィッシング手法に対しては,既に有効な防御策が存在する。そこで,巧妙なミススペルを考え出すのではなく,「paypalcom.cq.bz」のようなフィッシング・サイトかどうか判断しにくいURLを使うようになった。

 ところが,分かりにくいURLを使っても,Webサイトの機能自体がまともでないため,すぐにクローズされてアクセスできなくなる。該当Webサイトのホスティングをしている業者に偽サイトへの接続を遮断するよう求めるメッセージが送られたら,それで終わりだ。

 こうした状況で,フィッシングする連中は次に何をしただろうか。

 自前のフィッシング用サイトを構築する代わりに,一般のWebサイトを改ざんしてフィッシングするようになってきた。つまり,何も知らない合法サイトがフィッシングに加担しているのだ。こうした合法サイトは,本来の事業に被害が及ばないかぎりWebサイトをクローズしない。こうしているうちに,Webサイトの管理者に問題を直すよう求める連絡が届く。

 改ざんされたWebサイトの例として,15年もの運営実績がある「bbcsales.com」を紹介しよう。

BBCSales.com
BBCSales.com

 同サイトでPayPalに関するフィッシングが行われていることは,2008年5月6日にフィッシング情報収集サイト「PhishTank」で報告された。

BBCSales.com(5月6日)
BBCSales.com(5月6日)
[画像のクリックで拡大表示]

 フィッシングの足がかり「フィッシング・ピア(phishing pier)」は同サイトの「/administrator/」フォルダに存在していたが,すぐにクローズされた。

 ところが,同サイトは再び改ざんされ,新たなフィッシング・ピアが「/includes/」に設けられた。これは,PhishTankで5月21日に報告された。

BBCSales.com(5月21日)
BBCSales.com(5月21日)
[画像のクリックで拡大表示]

 このWebサイトに存在するセキュリティ・ホールそのものが修正されないかぎり,フィッシング・グループは改ざんとフィッシング・ピア作成をやめない。

 このWebサイトを運営しているカナダ企業は,再び問題を直すよう求める連絡を受け取ったはずだ。こうした対応は経費がかさむし,フィッシング・グループに付け入る隙を与えてしまう。

 PhishTankに掲載された最近の報告を眺めるだけで,フィッシング・ピアの事例が数多く見つかる。

訳注:「phishing pier(フィッシング・ピア)」は,「fishing pier(魚釣り用の桟橋)」という表現から作った言葉で,フィッシング詐欺の足がかりとなる仕組みを指す。海に桟橋を伸ばして魚釣りの拠点を構えるように,フィッシング用の足場をWebサイトに設けてユーザーを捕まえる。


Copyrights (C) 2008 F-Secure Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,エフ・セキュアの許可を得て,フィンランドのセキュリティ・ラボの研究員が執筆するブログWeblog:News from the Labの記事を抜粋して日本語化したものです。オリジナルの記事は,「Phishing Piers on Legitimate Sites」でお読みいただけます。